Разработчики фреймворка Metasploit обратили внимание (https://community.rapid7.com/community/metasploit/blog/2015/...) на прекращение выпуска обновлений для компонента WebView, используемого в Android для обработки web-страниц в штатном браузере и сторонних приложениях, способных отображать web-содержимое.
Исправления уязвимостей в WebView теперь производится только для веток Android 4.4 (KitKat) и 5.0 (Lollipop), которые используются на 39.1% и 0.1% устройств, остальные 60.8% систем остаются с неисправленными уязвимостями. Политика для старых выпусков состоит в том, что Google не будет принимать меры, если сообщения об уязвимостях не сопровождаются готовыми патчами. Если патчи представлены, то Google готов довести исправления до партнёров и OEM-производителей.В выпуске Android 4.4 компонент WebView был заменён на более современный движок, основанный на кодовой базе Chromium. Устаревший движок, применяемый в Android 4.3 и более ранних выпусках, уже давно не обновлялся, что привело к созданию 11 рабочих эксплоитов, через которые можно атаковать устройства на основе прошлых выпусков платформы Android. Несколько дней назад данные эксплоиты включены в состав Metasploit и доступны публично, что позволяет использовать их для организации атак.
Проблема усугубляется появлением (https://productforums.google.com/d/msg/adsense-ru/zlN5LJhvvg...) потенциально вредоносных рекламных блоков в рекламной сети Google AdSense. С середины декабря для Android-устройств в AdSense фиксируется появление баннеров, осуществляющих (https://www.youtube.com/watch?v=PggsU_KaxvM) принудительный переброс на сторонние страницы без каких-либо действий со стороны пользователя. Проброс осуществляется (http://www.opennet.me/openforum/vsluhforumID3/100956.html#51) через получение JavaScript-кода со стороннего сайта под видом картинки с его последующим исполнением (под видом обращения к счётчику pix.stcounter.com загружается строка "setTimeout("window.top.location.href='...';", 100), которая затем подставляется на страницу и выполняется вызовом parentNode.insertBefore(), что приводит к открытию без спроса другой страницы). Проблема была подтверждена многими администраторами сайтов и только от opennet.ru в Google было отправлено 5 различных запросов, но централизованной блокировки подобных HTML5-баннеров не последовало (http://www.opennet.me/openforum/vsluhforumID4/489.html).
В настоящее время данные баннеры используются в целях мошенничества, но нет никаких гарантий, что подконтрольный мошенникам сайт вместо кода редиректа не начнёт отдавать код для эксплуатации уязвимостей и внедрения вредоносноего ПО. Более того, нет никаких гарантий, что подобные атаки выборочно не осуществляются уже сейчас, например, при вредоносный код может отдаваться только при обнаружении уязвимой версии по идентификатору браузера (User Agent), а в остальных случаях может отдаваться обычный редирект. Отследить отдаваемый для редиректа JavaScript-код невозможно, так как он напрямую передаётся с сайта мошенников, минуя баннерную сеть. Таким образом, у мошенников имеется возможность использовать уже размещённые и прошедшие подтверждение в AdSense блоки для выполнения любого JavaScript кода на любом сайте, участвующем в сети AdSense.
URL: https://community.rapid7.com/community/metasploit/blog/2015/...
Новость: http://www.opennet.me/opennews/art.shtml?num=41447
Вот вам и большой брат.
Вот вам и большой ботнет. А гугл поможет его собрать.
По факту новость бессмысленна. Никто из производителей особо и не стремится выпускать обновления. Хочешь новый андроид - покупай новый телефон.
Что касается кастомных сборок (цианогенмоды всякие), то там и без этого все хорошо. Прошивки выпускаются для всех поддерживаемых моделей самые свежие.
> По факту новость бессмысленна. Никто из производителей особо и не стремится выпускатьНет. И новость больше не про производителей, а _для пользователей. Чтоб были в курсе проблемы.
> Что касается кастомных сборок (цианогенмоды всякие), то там и без этого все
> хорошо. Прошивки выпускаются для всех поддерживаемых моделей самые свежие.Ну, мой телефон Cg _ровно так же, как его производитель, просто требует снести на помойку. Официальная _nighty_-сборка -- версии *2.3*.
И с неофициальными сборками тоже всё... по-разному. Полностью устроившая _меня сборка основана на aosp 4.2 и больше года не обновляется, разаработчик пошёл куда полегче -- купил себе nexus4 и в xda-форуме моей модели больше не появляется. Даже автобуса не понадобилось: мельчайшее дробление сообщества разаработчиков и {раз/вы}мывание номенклатуры сделают всё за него. И на выбор -- свалка девелоперких-самодельных прошивок с такими же ядрами, аж до 4.4.x, и бинарных пересборок прошивок с других апаратов с ядрами от самодельщиков.
И это ещё _очень _неплохо. Модель подешевле (купил ребёнку -- да, практически "на выброс") посто отсутствует на cyanogenmod.org, а на xda-"разработчиков" смотреть _больно....
всего-лишь оптимизация расходов для высвобождения денежных средств, обновления производителю особо и не хочется выпускать — это всего лишь опосредованно влияет на репутацию
всего-лишь капитализмъ
Вот он -- опенсорс a la Google. Вроде и открыто, но все зависят от гуглорелизов.
60% оборудования остаётся за бортом. Слава Гуглу -- локомотиву прогресса, отцепляющего старые вагоны.
Тьфу.
Ну так потребительское устройство всегда зависит либо от локального администратора, либо от вендора. Точно так же можно сказать, например, о дебиане - "вот он опенсорс от дебиана - вроде и открыто, но все зависят от репозиториев". Из этих уязвимых процентов девять десятых можно спокойно прошить на что-то альтернативное с новой версией андроида. Как и в дебиане можно влепить сторонние репы.
У меня boost 2 se как обновить его до 4.4
Вот тут: http://4pda.ru/forum/index.php?showtopic=551020&st=6640 валом прошивок. На MIUI там 4.3, что проблему, описанную в топике, закрывает, и в шапке ссылка на цианоген 4.4.4Между прочим, это первая ссылка в гугле на " boost 2 se прошивка"
> На MIUI там 4.3, что проблему, описанную в топике, закрываетне закрывает. нужно < 4.3, т.е. от 4.4. и в этом и сыр-бор.
> не закрывает. нужно < 4.3, т.е. от 4.4. и в этом и
> сыр-бор.s/</>/
ДаЖ, точно. Ну, значит цианоген
На бусте2се в цианогене не работают мобильные сети и гпс, что делает телефон чуть менее, чем бесполезным.
Значит, тебе не повезло и ты попал в число тех, для решения сейчас нет - по крайней мере по первой попавшейся мне ссылке. Придётся пользоваться отдельно установленным файрфоксом или хромом.
> Из этих уязвимых процентов девять десятых можно спокойно прошить на что-то альтернативноет.е. аж 0.09%? ну да, как-то так, судя по сайту цианогена. а остальным что делать?
0.9%
Т.е. аж 90%.И кто говорил только о цианогене? Он хорош, но дело им не ограничивается. Я речь вёл прежде всего о всяких MIUI и прочей неофициальщине с 4pda.ru, где вообще не парятся лицензиями и просто дерут понравившиеся куски из других прошивок. Учитывая, что оборудование различается слабо - часто это дело прокатывает.
Зачастую неофициальные цыганомодские прошивки весьма плохо заилены. Многое на них не работает по сравнению с официальными устройствами. Зачастую это бывает из-за того, что производитель жмётся на спеки и драйвера, но пользователю от этого не легче.
>Зачастую это бывает из-за того, что производитель жмётся на спеки и драйвераЯ думаю, это не "отдельный производитель", а культура экосистемы, заложенная гуглем с его пермиссивной APL и arm-ом с "каждый чип уникален, пилите несовместимое, без универсальных шин -- пипл схавает". И нет, приход интеля (с друзьями его майкрософтами) не поменяет культуру. Мне так лично ка-ажется.
>, но пользователю от этого не легче.
Потребитель обнаружил, что его потребили. Как обычно.
У меня довольно старый телефон. Официальные обновления закончились на 4.1. Но благодаря cyanogenmod сейчас стоит 4.4.4 и все продолжает обновляться.
Лучше хоть такие обновления чем когда вообще нет возможности ничего сделать.
Я бы сказал, что такие обновления просто лучше. Если нет проблем с поддержкой железа, то альтернативные прошивки почти всегда более вменяемы, чем штатные.
Редкий производитель телефонов заморачивается и после выхода модели телефона делает больше 1-2 прошивок для него. Так что смысла от обновленного старого андройда особо нет(ставьте фаерфокс с маркета), если только все домохозяйки не ставят обновленные прошивки старых версий андройдов с всяких форпда.
"Так что смысла от обновленного старого андройда особо нет(ставьте фаерфокс с маркета)"
Что за бред?
> "Так что смысла от обновленного старого андройда особо нет(ставьте фаерфокс с маркета)"
> Что за бред?Проповедь потребл**ства.
Спасибо товарищу Линусу. Который гплв2онли сделал ядро и ему плевать на тивоизацию.
Уж на андроиде особых проблес с тивоизацией нет, рутится ифициально илил нет почти всё. Хотя GPLv3 я бы и сам предпочел, разумеется
Охохо. И давно так стало? Не помнишь как ещё несколько лет назад многие не рутились, либо рут был кривой. Судя по всему, только вышибание гнусмасом всех с рынка повернуло остальных производителей хоть как-то к пользователям. Начали официально разрешать рут. Вот только все эти руты не помогут поставить туда новое ядрышко. Всё что можно зажато и в блобах. Вот те и тивоизация.
Несколько лет назад много чего было. А сейчас - по факту половина рынка - это полубезымянные (и очень приличные) китайцы на MTK, которые которые мало того, что все шьются - так половине посредники прошивают какой-нибудь TWRP перед продажей. И, кстати, именно эти китайцы вышибли большую часть конкурентов с рынка. И эти руты отлично позволяют мне много чего сделать с системой, в том числе и влупить свежую сборку андроида. Да, блин, могло бы быть лучше - но это лучше, чем ВСЁ, что было хоть как-то живо прежде.
> И, кстати, именно эти китайцы вышибли большую часть конкурентов с рынка.Конкуренты то об этом знают? Цифирьки наверное даже сейчас увидим по доле рынка.
> И эти руты отлично позволяют мне много чего сделать с системой, в том числе и влупить свежую сборку андроида.
Жду викушку, как на любую мтк платформу занести последнее ядрышко.
Очень интересно. Именно для MTK нет нормальных ядер, и соответственно нет официальной поддержки от той же CM. А те прошивки которые могут шиться обычно одиночные моды стоковых, без всякой поддержки и никаких системных проблем (с накатом тех же обновлений) не решает.
Запрограммированное устаревание теперь и в софте ...
Оно как бы там на пару с железом by design
> Запрограммированное устаревание теперь и в софте ...Скорее запрограммированое западлостроение. К ботнету роутеров добавится ботнет смартов и планшетов. Кто там прикалывался про ботнет из чайников и кофеварок, трепещите - это следующий пункт программы.
Первые дозы, как говорится, бесплатно.
Тебе виндее!
> Тебе виндее!Годная опечатка. Прямо по Фрейду^W Баллмеру.
WebView обновлялся независимо от прошивки до 5.0? О_оНасколько я понимаю, WebView был вшит в прошивку и обновлялся только с прошивкой, собственно для тех, кого производитель кинул с обновлениями, ничего не поменялось после прекращения поддержки.
Очень странно выглядит новость на фоне того что в 99% случаем производители всё равно не выпускают обновления на прошивки.
А это неважно. Главное - шум поднять. Наших бьют, атас, посоны! А кто бьет, кого, за что, да и бьет ли вообще - кого из стада баранов это волнует?
По меньшей мере, странное у вас отношение к безопасности.Государство грозит запретит шифрованный трафик - ужас.
Хакеры ломают крымнаши компьютеры - ужас.
Православные хакеры ломают компьютеры некрымнаших пользователей - Саваоф Акбар!
Коммерческая компания с целью повышения уровня прибыли отказывает в выпуске обновлений - так и надо, очень правильное и своевременное решение.
> Государство грозит запретит шифрованный трафик - ужас.Это про Великобританию и США?
>Хакеры ломают крымнаши компьютеры - ужас.
>Православные хакеры ломают компьютеры некрымнаших пользователей - Саваоф Акбар!Это про ЕС и США? Когда хотели продавить законы в ЕС о запрещении продаж инструментов для взлома за пределы ЕС, но при этом для своих, разумеется, разрешить.
Или про АНБ? Только православные, ой истинно протестанские, ой истинно иудейские, конечно же, случайно оговорился, спецслужбы имеют право всех ломать - Саваоф Бабах.
Ну раньше то он хоть мог пересобрать свою версию прошивки с фиксами (напр 4.3), а теперь нужно портировать новую версию, либо забивать.
Как таковых обновлений программ в мобильниках нет вообще, т к для обновления пользователь должен скачать и прошить прошивку полностью или частично. Обновления через маркет тоже никуда не годятся. Ну нет у меня маркета, причем тут обновления системных приложений?
Единственно разумное объяснение такого рода шагу - попытка заставить производителей, которые клепают свои варианты и не заморачиваются корректностью перехода на новую версию улучшить ситуацию, чтобы все-же обновления к кастомным таки выходили и даже работали.
Но метод варварский.
а вот и гниль вылазиет, от тивоизации,
бабки качать с кошелечков =)
Пришло время покупать новые телефоны. Новые телефоны сами себя не купят.
Пф-ф-ф. Подожди немного -- следующая версия андроида будет самостоятельно заказывать новую версию телефона через год экплуатации.
Ну вот я и узнал, что для этого компонента, оказывается, выходили обновления. А то я уже взял и поставил Firefox for Android.
> А то я уже взял и поставил Firefox for Android.На ведроид 2.3 и старее он не ставится.
На 2.3 ставится. И даже работает.
> На 2.3 ставится. И даже работает.А у меня менеджер программ заявил что формат пакета - не кошерный. И досвидания.
Ну это тебя никак не спасёт от этой уязвимости.
А какой тогда смысл от этого комплекта?
Этот компонент без обновления прошивки не обновлялся, так что ни чего не поменялось :)
iOS 8 (актуальная) - 68% эппл-устройств.
> iOS 8 (актуальная) - 68% эппл-устройств.Я уж помню как эппл раздавал тормозной и уродский iOS без возможности отката. Все кто лоханутся и установил бурно cpaли кирпичами, потому что отменить нельзя. Совсем. Тивоизация - это как-то так.
Android 4.4.4 - 90% топовых девайсов.
>iOS 8Бугага.
Госпади, во как всех тут прорвало. вы бы еще начали ныть от того что пентиум2/3 и иже с ним, не тащит четвёртые кеды в 1080p. и что интель/амди такие гАды не хотят бесплатно менять процы, а разрабы кедов забыли про электорат и на пентиум2/3 и иже с ним, всё тормозит и валится в кору, какие ужасные разрабы, нужно срочно сделать форк четвёртых кед. не ужели до вас не доходит что в этом мире вам никто ничем не обязан. не нравится прошивка 2.х? используй тело аля нокия 1100 или беги в магаз за новым с прошивкой 4.х/5.х
сборище нытиков
Не прорвало, есть причина для недовольства. И причина тому - отсутствие вменяемых спецификаций на минимальные требования к железу.
Ну просто есть примеры как iOS и WP, у которых в разы лучше с секурными обновлениями. А на ведроиде вот такое позорище.
Почините 5-ку постоянно отваливается звук. Зависает в целом.
>Исправления уязвимостей в WebView теперь производится только для веток Android 4.4 (KitKat) и 5.0 (Lollipop), которые используются на 39.1% и 0.1% устройств, остальные 60.8% Android-систем остаются с неисправленными уязвимостями.Очевидно же что ветку 2.хх надо еще минимум пару лет, а ветку 4.хх вообще минимум 5 надо поддержвать. Они там головой своей думают?